Un enfoque moderno para reforzar la ciberseguridad de la cadena de suministro

Decir que han sido unos años llenos de acontecimientos para la gestión de riesgos en la cadena de suministro sería quedarse muy corto. Desde retrasos e interrupciones hasta el cese total de la actividad, las cadenas de suministro han sufrido de todo. Aunque este caos ha desencadenado una enorme innovación en torno a la tecnología de la cadena de suministro -lo cual es positivo-, también ha creado un vasto mundo de nuevas oportunidades para los ciberdelincuentes.

Según datos del Identity Theft Resource Center, los ataques a la cadena de suministro superaron en un 40% a los ataques basados en malware en 2022. La investigación descubrió que más de 1.700 entidades fueron blanco de ataques a la cadena de suministro, afectando a más de 10 millones de personas. Estas cifras son significativas y preocupantes, especialmente porque los expertos predicen que el riesgo de la cadena de suministro seguirá aumentando “exponencialmente” en 2023.

Para evitar convertirse en una estadística de ciberataques, es imperativo que las cadenas de suministro reconozcan el mayor riesgo para sus operaciones y adopten un enfoque moderno de la ciberseguridad.

En un mundo más interconectado que nunca es habitual que las empresas desarrollen largas cadenas de suministro. Ya sea externalizando proyectos o desarrollando asociaciones de software, las nuevas tecnologías y las implementaciones de terceros ayudan a agilizar las operaciones de la cadena de suministro. Sin embargo, las cadenas de suministro hiperconectadas también tienen defectos. Con los distintos socios tecnológicos de una cadena de suministro conectados entre sí, las medidas de ciberseguridad son tan fuertes como el eslabón más débil. Este concepto no es nuevo, pero la pandemia de COVID-19 forzó la rápida adopción de tecnologías modernas como la infraestructura en la nube, llevando la naturaleza conectada de la cadena de suministro a nuevas cotas y, por desgracia, creando un riesgo de seguridad y una superficie de ataque mucho más amplios.

Los piratas informáticos se dieron cuenta rápidamente de que la mejor forma de vulnerar sus objetivos principales era a través de socios tecnológicos más pequeños y menos seguros dentro de la cadena de suministro. Es probable que las organizaciones más pequeñas, con presupuestos de ciberseguridad aún más reducidos, presenten las vulnerabilidades que busca una amenaza de ciberseguridad, como sistemas mal configurados o completamente inseguros. Esto, a su vez, les proporciona acceso a toda la cadena de suministro. Una vez que una organización sufre una brecha, todas las entidades con las que trabaja también pueden considerarse vulneradas, ya que comparten puntos de acceso, datos y otros elementos.

Hoy en día, la ciberseguridad de la cadena de suministro debe abarcar tres áreas clave: evaluar periódicamente el riesgo de ciberseguridad, reforzar los controles de acceso de la organización y seguir preparándose para posibles ataques.

1. Las organizaciones deben evaluar a fondo el riesgo y la vulnerabilidad de todos y cada uno de los proveedores externos con los que trabajan; no sólo al principio de la relación o una vez al año, sino de forma continua. Y esto es especialmente importante para las organizaciones críticas que plantearían el mayor riesgo si fueran víctimas de una violación de datos con el potencial de tener datos sensibles expuestos.

2. Bloquear la organización desde el punto de vista digital es tan importante como evaluar el riesgo. Las soluciones modernas como la biometría basada en la identidad (IBB) y la autenticación multifactor (MFA) pueden ayudar a proteger todos los inicios de sesión de la organización y otros puntos de contacto digitales importantes. Las soluciones IBB permiten a las organizaciones verificar a la persona real que está detrás de un inicio de sesión sin que esté vinculada únicamente a un dispositivo o token, mientras que las soluciones MFA requieren múltiples métodos de autenticación para los inicios de sesión.

En lo que respecta al control de acceso digital, las empresas deben ser creativas a la hora de gestionar los riesgos de la cadena de suministro. Por ejemplo, pueden considerar la implantación de herramientas de virtualización como los escritorios virtuales, que les permiten activar y desactivar a voluntad el acceso de terceros. Este método aísla las amenazas del escritorio virtual utilizado por el tercero, que puede desconectarse rápidamente cuando el acceso ya no es necesario o si se produce una infracción.

El objetivo final debe ser una arquitectura de confianza cero, en la que cualquier sistema vulnerado en la cadena de suministro pueda aislarse y bloquearse rápidamente cuando sea necesario.

3. Por último, las organizaciones deben centrarse continuamente en prepararse para posibles ataques, lo que incluye la realización periódica de ejercicios de simulación. Los planes de respuesta y recuperación en caso de catástrofe deben ponerse a prueba al menos una vez al año, pero lo ideal sería varias veces al año. Nunca se está demasiado preparado para un ciberataque, que puede ser perjudicial y costoso para toda la cadena de suministro afectada.

Cuando se utilizan conjuntamente, estos tres procesos ayudan a garantizar el mejor nivel posible de preparación ante posibles infracciones, independientemente de cuándo y dónde se produzcan.

Dado que los ataques a la cadena de suministro parece que van en aumento y que las oportunidades de que se produzcan infracciones son cada vez mayores, invertir en ciberseguridad y mejorarla debe ser uno de los principales objetivos de las cadenas de suministro en 2023 (y en los años venideros). Los procesos de ciberseguridad de la cadena de suministro pueden parecer complicados, y las soluciones cibernéticas innovadoras como la biometría vinculada a la identidad pueden estar actualmente empañadas por un concepto erróneo de la “era espacial”, pero nunca ha sido tan fácil implantar y adoptar tales procesos y tecnologías. Ahora es el momento de que las cadenas de suministro tomen el control de su seguridad y se protejan de los posibles ciberdelincuentes.